遵循最小授权原则
防火墙默认禁止所有的域间流量,所有未明确允许的流量都被禁止。这是在防火墙上落实最小授权原则的基础。在此基础上,仅为合法流量开放安全策略,可以有效减小攻击面。
第一,为合法流量开放安全策略时,请谨慎使用Any作为匹配条件,建议设置尽可能精确的匹配条件。所谓精确的匹配条件,包括两个方面:
- 限制到具体的源/目的IP地址、服务
- 设置尽可能多的匹配条件,如用户、应用等
如果组织需要对Internet开放某些服务(例如Web服务),则安全策略的源IP地址设置为Any是合理的,其目的IP地址必须明确指定为对外开放的服务器/服务器组的地址,同时指定服务或端口。如果开放所有服务或端口,攻击者就可能利用字典攻击来实施暴力破解。
对于非公开服务,必须同时限定源IP地址范围。不能允许任意源IP地址访问数据库服务器等关键信息资产、服务器的管理服务(如SSH、RDP远程桌面服务)等敏感业务。建议同时指定可访问此类服务的用户。
应用识别是防火墙的关键能力,可以实现精细化的管控。分析网络中的流量,识别出哪些是合法应用是一个比较复杂的工作。你也可以根据应用类型或者应用标签来设置安全策略的匹配条件,如允许带有“企业应用”标签的应用。
第二,请为临时安全策略设置生效时间段。例如,第三方合作伙伴需要访问某服务,除了限制到具体的目的IP地址和服务,还应该设置安全策略的生效时间。当合作结束时,安全策略自动失效,在序号前会有图标(
第三,请关注安全策略的方向。华为防火墙都是状态检测防火墙,只需要允许业务的主动发起方建立连接,回程流量就可以顺利通过。只有在通信双方都需要主动发起连接的情况下,才需要配置双向安全策略。以Web服务器为例,通常情况下,Web服务器只需要被动响应来自Internet的连接请求即可,并不需要主动访问Internet。服务器的系统和软件更新应通过统一的中央服务器获取,并在安全策略中限制到具体的域名或应用(如WindowsUpdate)。
最小授权原则是最重要的安全原则。你也许不能做到绝对精确的最小授权,但是必须向着这个方向努力。
